Die neue „Cookie-Richtlinie“ der EU – worauf sich Unternehmen bereits heute einstellen sollten
Das EU-Parlament hat Ende letzten Jahres in Richtlinie 2009/136/EG eine Änderung der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) beschlossen, die auch die Nutzung von Cookies betrifft. Ziel der Änderung der Richtlinie ist die Schaffung von mehr Transparenz und Sicherheit für die Verbraucher. In diesem Artikel sollen die Änderungen untersucht werden, die das EU-Parlament hinsichtlich der Verwendung von Cookies getroffen hat.
Inhaltsverzeichnis
- Bedeutung von Cookies
- Rechtliche Bewertung
- Was bedeutet „Speicherung von Informationen oder der Zugriff auf Informationen“?
- Was kritisieren Datenschützer an der momentanen Cookiehandhabung?
- Welche Gestaltungsmöglichkeiten würden künftig verbleiben?
- Ausnahme: Session-Cookies
- Wann kommt die neue Regelung?
- Fazit
Bedeutung von Cookies
Cookies sind heutzutage vor allem für die Werbewelt relevant. Sie sind nützlich um Daten über die Nutzung einzelner Webseiten und das Nutzverhalten im Allgemeinen zu sammeln. Insbesondere das Kaufverhalten der Nutzer kann basierend auf einer geschickten Cookiesetzung analysiert werden. Gerade deswegen sind auch diverse Verbraucherschutzgruppen sowie öffentliche Institutionen auf den Gebrauch von Cookies aufmerksam geworden.
Rechtliche Bewertung
Es wird durch den Änderungsbeschluss unter anderem ein neuer Art. 5 Absatz 3 in die bestehende Datenschutzrichtlinie für elektronische Kommunikation eingefügt:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet wird, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."
Was bedeutet „Speicherung von Informationen oder der Zugriff auf Informationen“?
Die neue oben zitierte Richtline spricht von „Speicherung von Informationen oder der Zugriff auf Informationen“. Damit ist maßgeblich, wie der deutsche Gesetzgeber den Begriff „Information“ auslegen wird. Denn die Speicherung personenbezogener Daten in Cookies bedarf bereits nach derzeit geltender Rechtlage einer datenschutzrechtlichen Erlaubnis (also beispielsweise einer Einwilligung oder einer datenschutzrechtlichen Gestattungsnorm). Setzt der deutsche Gesetzgeber die Begriffe „Information“ und „personenbezogene Daten“ gleich, wird sich daher nicht viel ändern. Folgt er aber der Intention der Richtlinie und fasst den Begriff „Information“ weiter, wird die Abspeicherung sämtlicher Cookie-Inhalte künftig grundsätzlich einwilligungsbedürftig.
Was kritisieren Datenschützer an der momentanen Cookiehandhabung?
Kritisiert wird vor allem, dass der Nutzer keinerlei Einfluss auf den Inhalt der Cookiedaten hat. Inhalt, Umfang, Sendezeit und Speicherungsdauer entziehen sich in der Regel seinem Wissen. Daneben kann der Webserver, der den Cookie setzen lässt, bestimmen, wer den Cookie später empfangen soll. Dies ist damit wiederum dem Einflussbereich des Nutzers entzogen.
Welche Gestaltungsmöglichkeiten würden künftig verbleiben?
Es bestünden verschiedene Möglichkeiten, wie den Forderungen der Richtlinie nach einer gesetzeskonformen Verwendung von Cookies entsprochen werden könnte. Exemplarisch seien drei Möglichkeiten genannt:
- Einwilligung direkt bei Aufruf der Webseite: Beim Aufruf der Webseite erhält der Nutzer einen Link, der ihn direkt auf die Datenschutzerklärung der Seite verweist. In dieser Erklärung wird die Nutzung und Setzung der Cookies genau erläutert. Daneben wird erläutert werden, welche Browsereinstellungen der Nutzer vornehmen muss, damit keine Cookies gesetzt werden. Kehrt der Nutzer dennoch auf die Webseite zurück, so zeigt er sich als mit der Cookiesetzung einverstanden.
- Einwilligung in Pop-Up-Fenster: Beim Aufruf der Webseite erscheint ein Popup Fenster, in diesem Fenster wird über die Setzung der Cookies informiert. In diesem Pop-Up-Fenster befindet sich eine Opt-out-Box (bereits gesetztes Häkchen, das der Nutzer entfernen kann), nach welcher der Nutzer die Setzung von Cookies ablehnen kann, indem er das bereits gesetzte Häkchen entfernt. Entfernt der Nutzer das Häkchen nicht und kehrt zur Webseite zurück, kann der Webseitenbetreiber seine Cookies setzen. Auch so wird im Sinne der Richtlinie die Einwilligung konkludent ausgedrückt.
- Nach der Richtline soll es auch möglich sein, anhand der Browsereinstellungen eine generelle Einwilligung zu erteilen: „Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.“ Damit ist zwar eine generalisierende Einwilligung über eine Browser-Einstellung denkbar. Allerdings genügen die Browser mit ihren derzeitigen Standardeinstellungen zur Cookieverwendung noch nicht diesen Anforderungen.
Ausnahme: Session-Cookies
Gemäß Satz 2 der neuen Vorschrift ist eine Einwilligung auch in Zukunft bei solchen Cookies entbehrlich, die technisch erforderlich sind, um den jeweiligen Dienst zu erbringen. Dies heißt, dass für das Setzen von Session-Cookies normalerweise auch in Zukunft keine spezifische Einwilligung eingeholt werden muss.
Wann kommt die neue Regelung?
Momentan müssen die Unternehmen ihre Webseiten noch nicht umgestalten. Die Richtline bindet zuerst nur die Mitgliedstaaten, welche die Richtlinie bis zum 25.5.2011 in nationales Recht umzusetzen haben. Auch der deutsche Gesetzgeber muss hier tätig werden. Es ist den Unternehmern jedoch klar zu empfehlen, sich über das Thema informiert zu halten.
Fazit
Die Verwendung von Cookies zu Werbezwecken ist ein in der Internetwirtschaft nahezu unverzichtbares Hilfsmittel geworden. Sollten hier künftig grundsätzlich Einwilligungen der Nutzer oder Anpassungen der Browsereinstellungen erforderlich sein, um Cookies datenschutzkonform zu verarbeiten, werden zahlreiche Anpassungen an Webseiten erforderlich sein. Es bleibt zu hoffen, dass der deutsche Gesetzgeber sich zunächst einmal um die Definition der Begriffe „Daten“ und „Information“ bemühen und darauf aufbauend eine Kompromisslösung entwickeln wird, damit der Schaden begrenzt bleibt. Das IITR wird sich mit den Begrifflichkeiten „Daten“ und „Information“ in einem gesonderten Artikel befassen.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
© Metin Tolun - Fotolia.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
Weitere News
2 Kommentare
Es fängt beim Personalausweis an (der neue mit Fingerabruck), dann gibt es den Reisepass mit Fingerabdruck + RFID Chip, welcher sämtliche personenbezogenen Daten enthält.
Was ist mit Systemen wie ELENA?
Da dürfen munter Daten gespeichert, verwertet und eingesehen werden, wer macht dagegen etwas?
Die Politik darf sich alles erlauben, bei manchen (nicht allen) Firmen und Privatpersonen wird auf die Finger geklopft.
Ein weiteres Beispiel wäre auch die Kameraüberwachung von öffentlichen Straßen und Wegen. Als Privatmann oder Firma kann man sich ganz schnell eine Anzeige von der gefilmten Person einhandeln, da eine Überwachung von öffentlichen Wegen verboten ist.
Da gibt es aber auch wieder Sondergenehmigungen, die anscheinen für einige keine Gültigkeit besitzen...